bloomeatt Jun 11 at 14:54

Маршрутизируем отдельные сервисы через внешний шлюз на MikroTik: BGP + DNS FWD + xray core

Medium

8 min

12K

Network technologies * System administration * Information Security * Network hardware

Tutorial

+10

Comments 13

VsBirdEye Jun 11 at 19:11

У себя использовал вариант с mangle add routing mark на клиента или его подсеть и прописыванием маршрута для routing mark через "работающий" шлюз.

И совсем не понял, зачем тут bgp? Или это актуально только для тех, у кого своя as под рукой?

Soren Jun 11 at 20:03

antifilter.network, antifilter.download и прочие подобные.

bloomeatt Jun 11 at 20:06

Именно. Я постеснялся их упомянуть в самом материале.

ze7 Jun 11 at 21:23

А я микрот слил, купил кинетик. С ним возни меньше. Короче настроил так: ru напрямую; работа - через рабочий openvpn; остальное через wireguard. Там всё интуитивно понятно и настраивается в несколько кликов. Конечно это чуть облегчает жизнь, но грустно, что вместо работы приходится тратить время на это вот всё.

3Demon Jun 12 at 06:48

Статья конкретно про микрот, но ваше мнение что вы купили кинетик, конечно, очень важно. Огромное спасибо

ze7 Jun 12 at 07:00

Ну вам, вижу, важно - раз целый коммент настрочили. Времена сейчас тяжёлые, кто-нибудь далёкий от всего сетевого (как я), купит микрот и будет с ним мучиться. Вот я и написал, что есть более простые пути, если нужно сплит трафика на роутере настроить.

bloomeatt Jun 15 at 07:40

Для дома кинетик, безусловно, хорош. Ставить микрот ради микрота - геморрой в настройке для простых людей. Но для корпоративного использования кинетики все таки проигрывают по функционалу.

Granulex Jun 12 at 11:24

120к маршрутов "со скрипом" на hEX – это не особенность прошивки, это предупреждение: RouterOS при нехватке RAM не падает с ошибкой, а просто молча перезагружается.

bloomeatt Jun 15 at 07:34

Проверено на практике. На старых прошивках он падал еще на этапе выгрузки префиксов. После обновления выгрузку стал переваривать спокойно.

Да, нагрузка была под 70%, но работал. Поработал бы и еще, но переехали в новый офис, там уже совсем другого калибра железяка стоит.

andy2000 Jun 12 at 13:28

Интересная статья. В свое время делал подобное, но без bgp.

Ну и схема несколько другая. Я не юзал WG, а заворачивал трафик на виртуалку на домашнем сервере, где sing-box уже перекидывает на vless и т.п.

Заставил меня задуматься над observatory, вот этой фишки у меня нет. А она походу полезная.

Sukubus Jun 13 at 03:04

Я с анти фильтром столкнулся с такой вещью, что ОККО и КиноПоиск считают, что ты подключаешься к ним из Нидерландов и на выдаче совсем не те фильмы и каналы. Поэтому лично для себя сделал отдельную сеть вайфай, весь трафик которой идёт через впн. Это оказалось очень удобно. А до этого точно также забирал через аетифильтр и bgp адресные листы.

the_vitas Jun 13 at 19:25

Аналогично, столкнулся с подобным после настройки бгп от антифильтра. Ряд российских сайтов либо перестали открыватся, либо посылали, либо считали тебя иностранцем. Отказался в пользу собственных адрес листов. Как оказалось не так много мне и моей семье требуется. А если что требуется то это 1 минута добавить в лист адрес ресурса.

bloomeatt Jun 15 at 07:36

С кинопоиском проблем не встречал, но похожие аномалии ловил на суммаризованных префиксах. Как только перешел на более точные - больше не попадались.